計算機(jī)網(wǎng)絡(luò)基礎(chǔ)教程第7章網(wǎng)絡(luò)安全與管理

1、第7章 網(wǎng)絡(luò)安全與管理,本章內(nèi)容,知識結(jié)構(gòu),防火墻技術(shù),網(wǎng)絡(luò)安全與管理,網(wǎng)絡(luò)安全技術(shù),網(wǎng)絡(luò)病毒防治技術(shù),破密方法,現(xiàn)代加密方法,數(shù)字認(rèn)證,虛擬專用網(wǎng),數(shù)據(jù)加密與數(shù)字認(rèn)證,網(wǎng)絡(luò)病毒的防治,網(wǎng)絡(luò)病毒的類型,網(wǎng)絡(luò)病毒的特點,網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn),網(wǎng)絡(luò)安全的基本概念,防火墻的基本結(jié)構(gòu),防火墻的基本類型,防火墻的基本功能,防火墻的基本概念,VPN的基本類型,VPN的安全協(xié)議,VPN的實現(xiàn)技術(shù),VPN的基本概念,網(wǎng)絡(luò)管理技術(shù),簡單網(wǎng)絡(luò)管理協(xié)議,ISO網(wǎng)絡(luò)管理功能域,網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu),網(wǎng)絡(luò)管理的基本概念,數(shù)據(jù)加密概念,傳統(tǒng)加密方法,防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品,常用網(wǎng)絡(luò)管理系統(tǒng),網(wǎng)絡(luò)性能管理與優(yōu)化,7.1 網(wǎng)絡(luò)安

2、全技術(shù),隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性成為各層用戶所共同關(guān)心的問題。人們都希望自己的網(wǎng)絡(luò)能夠更加可靠地運行，不受外來入侵者的干擾和破壞，所以解決好網(wǎng)絡(luò)的安全性和可靠性，是保證網(wǎng)絡(luò)正常運行的前提和保障。,Internet,防火墻,學(xué)生區(qū),Info Gate,安全 垃圾郵 內(nèi)容 審計 件網(wǎng)關(guān) 過濾,數(shù)據(jù)庫服務(wù)器群,應(yīng)用服務(wù)器群,7.1.1網(wǎng)絡(luò)安全的基本概念,1、網(wǎng)絡(luò)安全要求 網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不會中斷。,7.1.1網(wǎng)絡(luò)安全的基本概念,2、網(wǎng)絡(luò)安全威脅 一般認(rèn)為，黑

3、客攻擊、計算機(jī)病毒和拒絕服務(wù)攻擊等3個方面是計算機(jī)網(wǎng)絡(luò)系統(tǒng)受到的主要威脅。,黑客攻擊,計算機(jī)病毒,拒絕服務(wù)攻擊,黑客使用專用工具和采取各種入侵手段非法進(jìn)入網(wǎng)絡(luò)、攻擊網(wǎng)絡(luò),并非法使用網(wǎng)絡(luò)資源。,計算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。,7.1.1網(wǎng)絡(luò)安全的基本概念,3、網(wǎng)路安全漏洞 網(wǎng)絡(luò)安全漏洞實際上是給不法分子以可乘之機(jī)的“通道”,大致可分為以下3個方面。,網(wǎng)絡(luò)的漏洞,服務(wù)器的漏洞,操作系統(tǒng)的漏洞,包括網(wǎng)絡(luò)傳輸時對協(xié)議的信任以及網(wǎng)絡(luò)傳輸漏洞，比如IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時對IP和DNS的信任。,7.1.1網(wǎng)絡(luò)安全的基本概念,4、網(wǎng)絡(luò)安全攻擊

4、 要保證運行在網(wǎng)絡(luò)環(huán)境中的信息安全,首先要解決的問題是如何防止網(wǎng)絡(luò)被攻擊。根據(jù)Steve Kent提出的方法,網(wǎng)絡(luò)安全攻擊可分為被動攻擊和主動攻擊兩大類，如圖7-1所示。,圖 7-1 網(wǎng)絡(luò)安全攻擊分類,被動攻擊,截獲(秘密),分析信息內(nèi)容 通信量分析,主動攻擊,拒絕 篡改 偽造 重放 (可用性) (完整性) (真實性) (時效性),被動攻擊不修改信息內(nèi)容，所以非常難以檢測，因此防護(hù)方法重點是加密。主動攻擊是對數(shù)據(jù)流進(jìn)行破壞、篡改或產(chǎn)生一個虛假的數(shù)據(jù)流。,7.1.1網(wǎng)絡(luò)安全的基本概念,5、網(wǎng)絡(luò)安全破壞 網(wǎng)絡(luò)安全破壞的技術(shù)手段是多種多樣的，了解最通常的破壞手段，有利于加強(qiáng)技術(shù)防患。,7.1.2網(wǎng)絡(luò)

5、安全的評價標(biāo)準(zhǔn),1、國際評價標(biāo)準(zhǔn) 計算機(jī)系統(tǒng)的安全等級由低到高順序：D；C1 C2；B1 B2 B3；A。如圖7-2所示。,圖 7-2 TCSEC安全體系,可信計算機(jī)系統(tǒng)評測準(zhǔn)則,C2：受控訪問保護(hù),C1：自主安全保護(hù),A1：驗證設(shè)計,D1：最小保護(hù),B2：結(jié)構(gòu)安全保護(hù),B1：標(biāo)志安全保護(hù),B3：安全域,C類,A類,D類,B類,7.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn),20世紀(jì)90年代開始，一些國家和國際組織相繼提出了新的安全評測準(zhǔn)則。1991年,毆共體發(fā)布了“信息技術(shù)安全評測準(zhǔn)則”；1993年，加拿大發(fā)布了“加拿大可信計算機(jī)產(chǎn)品評測準(zhǔn)則”；1993年6月,上述國家共同起草了一份通用準(zhǔn)則,并將CC推廣為國

6、際標(biāo)準(zhǔn)。國際安全評測標(biāo)準(zhǔn)的發(fā)展如圖7-3所示。,1993年加拿大可信計算機(jī)產(chǎn)品評測準(zhǔn)則,1991年歐洲信息技術(shù)安全評測準(zhǔn)則,1991年美國聯(lián)邦政府評測標(biāo)準(zhǔn),1983年美國國防部可信計算機(jī)評測準(zhǔn)則,1996年國際通用準(zhǔn)則（CC）,1999年CC成為國際標(biāo)準(zhǔn),圖 7-3 國際安全評測標(biāo)準(zhǔn)的發(fā)展與聯(lián)系,7.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn),2、我國評價標(biāo)準(zhǔn)分如下五個級別,7.1.3網(wǎng)絡(luò)安全措施,在網(wǎng)絡(luò)設(shè)計和運行中應(yīng)考慮一些必要的安全措施，以便使網(wǎng)絡(luò)得以正常運行。網(wǎng)絡(luò)的安全措施主要從物理安全、訪問控制、傳輸安全和網(wǎng)絡(luò)安全管理等4個方面進(jìn)行考慮。 1、物理安全措施 物理安全性包括機(jī)房的安全、所有網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備（

7、包括服務(wù)器、工作站、通信線路、路由器、網(wǎng)橋、磁盤、打印機(jī)等）的安全性以及防火、防水、防盜、防雷等。網(wǎng)絡(luò)物理安全性除了在系統(tǒng)設(shè)計中需要考慮之外，還要在網(wǎng)絡(luò)管理制度中分析物理安全性可能出現(xiàn)的問題及相應(yīng)的保護(hù)措施。 2、訪問控制措施 訪問控制措施的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。其包括以下個方面：,7.1.3網(wǎng)絡(luò)安全措施,7.1.3網(wǎng)絡(luò)安全措施,6,網(wǎng)絡(luò)檢測和鎖定控制：網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對于非法訪問應(yīng)報警。,7,網(wǎng)絡(luò)端口和節(jié)點的安全控制：網(wǎng)絡(luò)服務(wù)器端口使用自動回呼設(shè) 備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密形式識別節(jié)點的身份。,8,防火墻控制：防

8、火墻成為是互連網(wǎng)絡(luò)上的首要安全技術(shù)，是設(shè)置在網(wǎng)絡(luò)與外部之間的一道屏障。,3、網(wǎng)絡(luò)通信安全措施 建立物理安全的傳輸媒介 對傳輸數(shù)據(jù)進(jìn)行加密：保密數(shù)據(jù)在進(jìn)行數(shù)據(jù)通信時應(yīng)加密，包括鏈路加密和端到端加密。,7.1.3網(wǎng)絡(luò)安全措施,4、網(wǎng)絡(luò)安全管理措施 除了技術(shù)措施外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定相關(guān)配套,檢查和 互協(xié),滲透測試,安全設(shè)計,設(shè)備配置,安全漏洞 分析,安全策略,安全需求,安全結(jié)構(gòu),安全評估,安全評估,安全評估,的規(guī)章制度、確定安全管理等級、明確安全管理范圍、采取系統(tǒng)維護(hù)方法和應(yīng)急措施等,對網(wǎng)絡(luò)安全、可靠地運行，將起到很重要的作用。實際上，網(wǎng)絡(luò)安全策略是一個綜合, 要從可用性、實用性、完整性、可

9、靠性和保密性等方面綜合考慮，才能得到有效的安全策略。,7.2 數(shù)據(jù)加密與數(shù)字認(rèn)證,數(shù)據(jù)加密和數(shù)字認(rèn)證是網(wǎng)絡(luò)信息安全的核心技術(shù)。其中，數(shù)據(jù)加密是保護(hù)數(shù)據(jù)免遭攻擊的一種主要方法；數(shù)字認(rèn)證是解決網(wǎng)絡(luò)通信過程中雙方身份的認(rèn)可，以防止各種敵手對信息進(jìn)行篡改的一種重要技術(shù)。 數(shù)據(jù)加密和數(shù)字認(rèn)證的聯(lián)合使用，是確保信息安全的有效措施。,7.2.1數(shù)據(jù)加密概念,1、密碼學(xué)與密碼技術(shù) 計算機(jī)密碼學(xué)是研究計算機(jī)信息加密、解密及其變換的新興科學(xué),密碼技術(shù)是密碼學(xué)的具體實現(xiàn), 它包括4個方面：保密(機(jī)密)、消息驗證、消息完整和不可否認(rèn)性。,7.2.1數(shù)據(jù)加密概念,2、加密和解密 密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分。加密是

10、把需要加密的報文按照以密碼鑰匙（簡稱密鑰）為參數(shù)的函數(shù)進(jìn)行轉(zhuǎn)換，產(chǎn)生密碼文件；解密是按照密鑰參數(shù)進(jìn)行解密,還原成原文件。數(shù)據(jù)加密和解密過程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密，經(jīng)過信道傳輸,到信宿接收時進(jìn)行解密,以實現(xiàn)數(shù)據(jù)通信保密。數(shù)據(jù)加密和解密過程如圖7-4所示。,加 密,密鑰,報 文,解 密,原報文,圖 7-4 加密解密模型,明文,密文傳輸,明文,信源,加密單元,解密單元,信宿,7.2.1數(shù)據(jù)加密概念,3、密鑰體系 加密和解密是通過密鑰來實現(xiàn)的。如果把密鑰作為加密體系標(biāo)準(zhǔn)，則可將密碼系統(tǒng)分為單鑰密碼（又稱對稱密碼或私鑰密碼）體系和雙鑰密碼（又稱非對稱密碼或公鑰密碼）體系。 在單鑰密碼體制下，

11、加密密鑰和解密密鑰是一樣的。在這種情況下，由于加密和解密使用同一密鑰（密鑰經(jīng)密鑰信道傳給對方），所以密碼體制的安全完全取決于密鑰的安全。 雙鑰密碼體制是1976年W.Diffie和M.E.Heilinan 提出的一種新型密碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。在雙鑰密碼體制下,加密密鑰與解密密鑰是不同的,它不需要安全信道來傳送密鑰，可以公開加密密鑰，僅需保密解密密鑰。,7.2.2傳統(tǒng)加密方法,1、代換密碼法 單字母加密方法：是用一個字母代替另一個字母,它把A變成E，B變成F，C變?yōu)镚，D變?yōu)镠。 多字母加密方法：密鑰是簡短且便于記憶的詞組。 2、轉(zhuǎn)換密

12、碼法 保持明文的次序，而把明文字符隱藏起來。轉(zhuǎn)換密碼法不是隱藏它們，而是靠重新安排字母的次序。 3、變位加密法 把明文中的字母重新排列,字母本身不變，但位置變了。常見的有簡單變位法、列變位法和矩陣變位法。 4、一次性密碼簿加密法 就是用一頁上的代碼來加密一些詞，再用另一頁上的代碼加密另一些詞，直到全部的明文都被加密。,7.2.3現(xiàn)代加密方法,1、DES加密算法 DES加密算法是一種通用的現(xiàn)代加密方法,該標(biāo)準(zhǔn)是在56位密鑰控制下,將每64位為一個單元的明文變成64位的密碼。采用多層次復(fù)雜數(shù)據(jù)函數(shù)替換算法，使密碼被破譯的可能性幾乎沒有。 2、IDEA加密算法 相對于DES的56位密鑰，它使用128

13、位的密鑰，每次加密一個64位的塊。這個算法被加強(qiáng)以防止一種特殊類型的攻擊,稱為微分密碼密鑰。 IDEA的特點是用了混亂和擴(kuò)散等操作,主要有三種運算：異或、模加、模乘，并且容易用軟件和硬件來實現(xiàn)。IDEA算法被認(rèn)為是現(xiàn)今最好的、最安全的分組密碼算法，該算法可用于加密和解密。,7.2.3現(xiàn)代加密方法,郵件內(nèi)容C,H=MDS(C),S=ENRSA(H)KS,M=C+S,隨機(jī)加密密鑰,E1=ENIDEA(M),E2=ENRSA(K)KRP,將E1+E2寄出,發(fā)送郵件,收到E1+E2,K=DERSA(E2)KRS,M=DEIDEA(E1)K,將M分離成C和S,H1=MD5(C),取得收信人的 分開密鑰K

14、P,S1=DERSA(H1)KP,S1=S?,No,Yes,接收此郵件,拒絕此郵件,接收郵件,3、RSA公開密鑰算法 RSA是屹今為止最著名、最完善、使用最廣泛的一種公匙密碼體制。RSA算法的要點在于它可以產(chǎn)生一對密鑰,一個人可以用密鑰對中的一個加密消息，另一個人則可以用密鑰對中的另一個解密消息。任何人都無法通過公匙確定私匙，只有密鑰對中的另一把可以解密消息。,取得收信人的 分開密鑰KRP,7.2.3現(xiàn)代加密方法,4、HashMD5加密算法 Hash函數(shù)又名信息摘要（Message Digest）函數(shù)，是基于因子分解或離散對數(shù)問題的函數(shù)，可將任意長度的信息濃縮為較短的固定長度的數(shù)據(jù)。這組數(shù)據(jù)能

15、夠反映源信息的特征，因此又可稱為信息指紋（Message Fingerprint)。Hash函數(shù)具有很好的密碼學(xué)性質(zhì),且滿足Hash函數(shù)的單向、無碰撞基本要求。 5、量子加密系統(tǒng) 量子加密系統(tǒng)是加密技術(shù)的新突破。量子加密法的先進(jìn)之處在于這種方法依賴的是量子力學(xué)定律。傳輸?shù)墓饬孔又辉试S有一個接收者，如果有人竊聽，竊聽動作將會對通信系統(tǒng)造成干擾。通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽，隨即結(jié)束通信，生成新的密鑰。,7.2.4破密方法,1.密鑰窮盡搜索 就是嘗試所有可能的密鑰組合，雖然這種密鑰嘗試通常是失敗的，但最終總會有一個密鑰讓破譯者得到原文。 2. 密碼分析 密碼分析是在不知密鑰的情況下利用數(shù)學(xué)方法破譯密文

16、或找到秘密密鑰。常見的密碼分析有如下兩種： 已知明文的破譯方法：是當(dāng)密碼分析員掌握了一段明文和對應(yīng)的密文,目的是發(fā)現(xiàn)加密的密鑰。在實際應(yīng)用中,獲得某些密文所對應(yīng)的明文是可能的。 選定明文的破譯方法：密碼分析員設(shè)法讓對手加密一段分析員選定的明文，并獲得加密后的結(jié)果,以獲得確定加密的密鑰。,7.2.4破密方法,3、防止密碼破譯的措施 為了防止密碼破譯,可以采取一些相應(yīng)的技術(shù)措施。目前通常采用的技術(shù)措施以下3種。 好的加密算法：一個好的加密算法往往只有用窮舉法才能得到密鑰，所以只要密鑰足夠長就會比較安全。20世紀(jì)7080年代密鑰長通常為4864位，90年代,由于發(fā)達(dá)國家不準(zhǔn)許出口64位加密產(chǎn)品，所以

17、國內(nèi)大力研制128位產(chǎn)品。 保護(hù)關(guān)鍵密鑰（KCK：KEY CNCRYPTION KEY）。 動態(tài)會話密鑰：每次會話的密鑰不同。 動態(tài)或定期變換會話密鑰是有好處的，因為這些密鑰是用來加密會話密鑰的，一旦泄漏，被他人竊取重要信息，將引起災(zāi)難性的后果。,7.2.5數(shù)字認(rèn)證,數(shù)字認(rèn)證是一種安全防護(hù)技術(shù)，它既可用于對用戶身份進(jìn)行確認(rèn)和鑒別,也可對信息的真實可靠性進(jìn)行確認(rèn)和鑒別,以防止冒充、抵賴、偽造、篡改等問題。數(shù)字認(rèn)證技術(shù)包括數(shù)字簽名、數(shù)字時間戳、數(shù)字證書和認(rèn)證中心等。 1、數(shù)字簽名 “數(shù)字簽名”是數(shù)字認(rèn)證技術(shù)中其中最常用的認(rèn)證技術(shù)。在日常工作和生活中，人們對書信或文件的驗收是根據(jù)親筆簽名或蓋章來證實

18、接收者的真實身份。在書面文件上簽名有兩個作用：一是因為自己的簽名難以否認(rèn)，從而確定了文件已簽署這一事實；二是因為簽名不易偽冒，從而確定了文件是真實的這一事實。但是，在計算機(jī)網(wǎng)絡(luò)中傳送的報文又如何簽名蓋章呢，這就是數(shù)字簽名所要解決的問題。,7.2.5數(shù)字認(rèn)證,在網(wǎng)絡(luò)傳輸中如果發(fā)送方和接收方的加密、解密處理兩者的信息一致，則說明發(fā)送的信息原文在傳送過程中沒有被破壞或篡改, 從而得到準(zhǔn)確的原文。傳送過程如圖7-7所示。,圖 7-7 數(shù)字簽名的驗證及文件的竄送過程,7.2.5數(shù)字認(rèn)證,2、數(shù)字時間戳（DTS） 在電子交易中,同樣需要對交易文件的日期和時間信息采取安全措施，數(shù)字時間戳就是為電子文件發(fā)表的

19、時間提供安全保護(hù)和證明的。DTS是網(wǎng)上安全服務(wù)項目,由專門的機(jī)構(gòu)提供。數(shù)字時間戳是一個加密后形成的憑證文檔,它包括三個部分： 需要加時間戳的文件的摘要 DTS機(jī)構(gòu)收到文件的日期和時間 DTA機(jī)構(gòu)的數(shù)字簽名 數(shù)字時間戳的產(chǎn)生過程：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將這個摘要發(fā)送到DTS機(jī)構(gòu)，DTS機(jī)構(gòu)在加入了收到文件摘要的日期和時間信息后，再對這個文件加密（數(shù)字簽名），然后發(fā)送給用戶。,7.2.5數(shù)字認(rèn)證,3、數(shù)字證書 數(shù)字認(rèn)證從某個功能上來說很像是密碼，是用來證實你的身份或?qū)W(wǎng)絡(luò)資源訪問的權(quán)限等可出示的一個憑證。數(shù)字證書包括：,7.2.5數(shù)字認(rèn)證,持卡人CCA,持卡證

20、件,商家MCA,商家證件,支持網(wǎng)關(guān)PCA,支付網(wǎng)關(guān)證件,根CA,品牌CA,地方CA,圖 7-8 CA認(rèn)證體系的層次結(jié)構(gòu),4、認(rèn)證中心（CA） 認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。它的主要任務(wù)是受理數(shù)字憑證的申請，簽發(fā)數(shù)字證書及對數(shù)字證書進(jìn)行管理。,CA認(rèn)證體系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付網(wǎng)關(guān)CA等不同層次構(gòu)成，上一級CA負(fù)責(zé)下一級CA數(shù)字證書的申請簽發(fā)及管理工作。,圖 7-9 防火墻的邏輯結(jié)構(gòu)示意圖,1、什么是防火墻 為了防止病毒和黑客，可在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng)，豎起一道用來阻斷來自外部通過網(wǎng)絡(luò)對

21、本網(wǎng)絡(luò)的威脅和入侵的安全屏障，其作用與古代防火磚墻有類似之處，人們把這個屏障就叫做“防火墻”，其邏輯結(jié)構(gòu)如圖7-9所示。,7.3.1防火墻的基本概念,7.3 防火墻技術(shù),7.3.1防火墻的基本概念,2、防火墻的基本特性 所有內(nèi)部和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻。 只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許 的數(shù)據(jù)可以通過防火墻。 防火墻本身不受各種攻擊的影響。 3、防火墻的基本準(zhǔn)則 過濾不安全服務(wù)：防火墻應(yīng)封鎖所有的信息流,然后對希望提供的安全服務(wù)逐項開放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。 過濾非法用戶和訪問特殊站點： 防火墻允許所有用戶 和站點對內(nèi)部網(wǎng)絡(luò)進(jìn)行

22、訪問，然后網(wǎng)絡(luò)管理員按照IP地址對未授權(quán)的用戶或不信任的站點進(jìn)行逐項屏蔽。,7.3.2防火墻的基本功能,1、作為網(wǎng)絡(luò)安全的屏障 防火墻作為阻塞點、控制點，能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。 2、可以強(qiáng)化網(wǎng)絡(luò)安全策略 通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證、審計等）配置在防火墻上。 3、對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計 所有的外部訪問都經(jīng)過防火墻時，防火墻就能記錄下這些訪問，為網(wǎng)絡(luò)使用情況提供統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑信息時防火墻能發(fā)出報警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。 4、可以防止內(nèi)部信息的外泄 利用防火墻可以實現(xiàn)內(nèi)部網(wǎng)重點

23、網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。,7.3.3防火墻的基本類型,1、網(wǎng)絡(luò)級防火墻（Network Gateway） 網(wǎng)絡(luò)級防火墻主要用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。,圖 7-10 包過濾路由器的工作原理示意圖,內(nèi)部網(wǎng)絡(luò),Internet,外部網(wǎng)絡(luò),包過濾路由器,7.3.3防火墻的基本類型,2、應(yīng)用級防火墻（Application Gateway） 這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接的作用。代理防火墻的最大缺點是速度相對比較慢。應(yīng)用級代理工作原理圖7-11

24、所示。,圖 7-11 應(yīng)用級代理工作原理示意圖,內(nèi)部網(wǎng)絡(luò),真正服務(wù)器,代理服務(wù)器,實際的連接,實際的連接,外部網(wǎng)絡(luò),客戶,虛擬的連接,Internet,防火墻,7.3.3防火墻的基本類型,3、電路級防火墻（Gateway） 電路級防火墻也稱電路層網(wǎng)關(guān),是一個具有特殊功能的防火墻。電路級網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過濾。與應(yīng)用級防火墻相似,電路級防火墻也是代理服務(wù)器,只是它不需要用戶配備專門的代理客戶應(yīng)用程序。另外,電路級防火墻在客戶與服務(wù)器間創(chuàng)建了一條電路,雙方應(yīng)用程序都不知道有關(guān)代理服務(wù)的信息。 4、狀態(tài)監(jiān)測防火墻（Statefu inspection Gateway）

25、 狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應(yīng)用連接,狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則,允許符合規(guī)則的連接通過,并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表就可以通過。,7.3.4防火墻的基本結(jié)構(gòu),1、雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） 雙宿主機(jī)網(wǎng)關(guān)是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻,其中一個是網(wǎng)卡,與內(nèi)網(wǎng)相連；另一個可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡。雙宿主機(jī)網(wǎng)關(guān)的弱點是一旦入侵者攻入堡壘主機(jī)并使其具有路由功能，則外網(wǎng)用戶均可自由訪問內(nèi)網(wǎng)。雙宿主機(jī)網(wǎng)關(guān)工作原理圖如圖7-13所示。,圖 7-13 雙宿堡壘主機(jī),Intern

26、et,雙宿堡壘主機(jī),內(nèi)網(wǎng),7.3.4防火墻的基本結(jié)構(gòu),2、屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） 單宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的一種簡單形式,單宿堡壘主機(jī)只有一個網(wǎng)卡，并與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機(jī)成為可以從Internet上訪問的唯一主機(jī)。而Intranet內(nèi)部的客戶機(jī)，可以受控地通過屏蔽主機(jī)和路由器訪問Internet,其工作原理圖如圖7-14所示。,圖 7-14 屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī),Internet,雙宿堡壘主機(jī),內(nèi)網(wǎng),7.3.4防火墻的基本結(jié)構(gòu), 雙宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的另一種形式, 與單宿堡壘主機(jī)相比，雙宿堡壘主機(jī)有

27、兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)更加安全。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)工作原理圖如圖 7-15 所示。,圖 7-15 屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī),Internet,雙宿堡壘主機(jī),內(nèi)網(wǎng),7.3.4防火墻的基本結(jié)構(gòu),3、屏蔽子網(wǎng)（Screened Subnet Gateway） 屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個起隔離作用的子網(wǎng)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，它們不能直接通信，但可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的互訪提供代理服務(wù)。屏蔽子網(wǎng)工作原理圖如圖 7-16 所示。,圖 7-16 屏蔽子網(wǎng)防火墻,內(nèi)網(wǎng)

28、,屏蔽子網(wǎng),Internet,7.3.5防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品,1、防火墻的安全標(biāo)準(zhǔn) Secure/WAN（S/WAN）標(biāo)準(zhǔn) FWPD（Fire Wall Product Developer）聯(lián)盟制訂的 防火墻測試標(biāo)準(zhǔn) 2、常見的防火墻產(chǎn)品,1、什么是虛擬專用網(wǎng) 防火墻用來將局域網(wǎng)與Internet分隔開來，阻止來自外部網(wǎng)絡(luò)的損壞。隨著企業(yè)網(wǎng)應(yīng)用的不斷擴(kuò)大，企業(yè)網(wǎng)的范圍也不斷擴(kuò)大，從一個本地網(wǎng)絡(luò)發(fā)展到一個跨地區(qū)跨城市甚至跨國家的網(wǎng)絡(luò),為保證區(qū)域間流通的企業(yè)信息安全,通過租用昂貴的跨地區(qū)數(shù)字專線方式建立物理上的專用網(wǎng)非常困難。 隨著計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)的發(fā)展，現(xiàn)在可通過Internet提供的虛擬專

29、用網(wǎng)(Virtual Private Network，VPN)技術(shù)，使家庭辦公、移動用戶或其它用戶主機(jī)可以很方便地訪問企業(yè)服務(wù)器。用戶就像通過專線連接一樣，而感覺不到公網(wǎng)的存在，這種網(wǎng)絡(luò)被稱為VPN的基本結(jié)構(gòu)如圖7-17所示。,7.4 虛擬專用網(wǎng)技術(shù),7.4.1 VPN的基本概念,7.4.1 VPN的基本概念,VPN是通過一個公用網(wǎng)絡(luò)建立的一個臨時、安全的連接方式,是一條穿越混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，其目標(biāo)是在不安全的公用網(wǎng)絡(luò)上建立一個安全的專用通信網(wǎng)絡(luò)。 VPN的最大優(yōu)點是無需租用電信部門的專用線路，而由本地ISP所提供的VPN服務(wù)所替代。因此，人們越來越關(guān)注基于Internet的V

30、PN技術(shù)及其應(yīng)用。,圖 7-17 虛擬專用網(wǎng)示意圖,2、虛擬專用網(wǎng)的安全性 VPN實際上是一種服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。VPN中傳輸?shù)氖瞧笫聵I(yè)或公司的內(nèi)部信息，因此數(shù)據(jù)的安全性非常重要。VPN保證數(shù)據(jù)的安全性主要包括以下3個方面。 數(shù)據(jù)保密性（Confidentiality）：通過數(shù)據(jù)加密來確保數(shù)據(jù)通過公網(wǎng)傳輸時外人無法看到或截獲，即使被他人看到也不會泄露。 身份驗證(Authentication）：對通信實體的身份認(rèn)證和信息的完整性檢查，能夠?qū)τ诓煌挠脩舯仨毷谟璨煌脑L問權(quán)限,確保數(shù)據(jù)是從正確的發(fā)送方傳輸來的。 數(shù)據(jù)完整性（Integrity）：確保數(shù)據(jù)在傳輸過程中沒有被非法改動，保持?jǐn)?shù)據(jù)

31、信息原樣地到達(dá)目的地。,7.4.1 VPN的基本概念,3、VPN的特點 VPN最終用戶提供類似于專用網(wǎng)絡(luò)性能的網(wǎng)絡(luò)服務(wù)技術(shù),并具有以下特點。 安全性高：VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴同公司內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 降低成本：VPN是建立在現(xiàn)有網(wǎng)絡(luò)硬件設(shè)施基礎(chǔ)上，因此可以保護(hù)用戶現(xiàn)有的網(wǎng)絡(luò)設(shè)施投資；大幅度地減少用戶在WAN和遠(yuǎn)程連接上的費用；降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本。 優(yōu)化管理：采用VPN方案可以簡化網(wǎng)絡(luò)設(shè)計和管理，加速連接新的用戶和網(wǎng)站。同時，能夠極大地提高用戶網(wǎng)絡(luò)運營和管理的靈活性。,7.4.1 VPN的基本概念,7.4.2 VPN的實現(xiàn)技術(shù),1

32、、隧道技術(shù) 隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式,是VPN的核心。隧道技術(shù)是在公用網(wǎng)建立一條專用數(shù)據(jù)“通道”，以實現(xiàn)點對點的連接，讓來自不同數(shù)據(jù)源的網(wǎng)絡(luò)業(yè)務(wù)經(jīng)由不同的“通道”在相同的網(wǎng)絡(luò)體系結(jié)構(gòu)上傳輸，并且允許網(wǎng)絡(luò)協(xié)議穿越不兼容的體系結(jié)構(gòu)。隧道的組成如圖7-18所示。,7.4.2 VPN的實現(xiàn)技術(shù),2、加解密技術(shù)（Encryption & Decryption） 對通過公用互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其它未授權(quán)的用戶無法讀取該信息。 3、密鑰管理技術(shù)（Key Management） 密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行

33、常用密鑰管理技術(shù)可分為SKIP與ISAKMPOakley兩種。 4、身份認(rèn)證技術(shù)（Authentication） 公用網(wǎng)絡(luò)上有眾多的使用者與設(shè)備，如何正確地辨認(rèn)合法的使用者與設(shè)備，使屬于本單位的人員與設(shè)備能互通，構(gòu)成一個VPN并讓未授權(quán)者無法進(jìn)人系統(tǒng),這就是使用者與設(shè)備身份認(rèn)證技術(shù)要解決的問題。,7.4.2 VPN的實現(xiàn)技術(shù),5、VPN的應(yīng)用平臺 VPN設(shè)備選擇的標(biāo)準(zhǔn)主要取決于應(yīng)用程序運行的安全級別和性能要求，而在技術(shù)方法上VPN是通過平臺來實現(xiàn)的。目前VPN的應(yīng)用平臺可分為3種類型。 基于軟件的VPN：當(dāng)數(shù)據(jù)連接速度較低，對性能和安全性要求不高時，利用一些軟件提供的功能便可實現(xiàn)簡單的VPN功

34、能。 基于專用硬件平臺的VPN：當(dāng)企業(yè)和用戶對數(shù)據(jù)安全與通信性能要求很高時，可采用專用硬件平臺實現(xiàn)VPN功能。 輔助硬件平臺的VPN：以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，在添加適當(dāng)?shù)腣PN軟件的情況下實現(xiàn)VPN功能。網(wǎng)絡(luò)安全性和通信性能介于上述兩者之間。,7.4.3 VPN的安全協(xié)議,網(wǎng)絡(luò)隧道協(xié)議有兩種：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議數(shù)據(jù)，以構(gòu)建遠(yuǎn)程訪問虛擬專用網(wǎng)；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，以構(gòu)建企業(yè)內(nèi)部虛擬專用網(wǎng)和擴(kuò)展的企業(yè)內(nèi)部VPN。 1、二層隧道協(xié)議（PPTPP2TP） PPTP：是點對點隧道協(xié)議，它是由 Microsoft公司提出的、被嵌入到Windows中的、用于路由和

35、遠(yuǎn)程服務(wù)的數(shù)據(jù)鏈路層協(xié)議。PPTP用IP包來封裝PPP數(shù)據(jù)幀，用簡單的包過濾和域控制來實現(xiàn)訪問控制。 L2TP：是第二層隧道轉(zhuǎn)發(fā)協(xié)議，它是由PPTP和L2F組合而成，可用于基于Internet的遠(yuǎn)程撥號訪問。還可以為使用PPP的客戶端建立撥號方式的VPN連接。L2TP可用于傳輸多種協(xié)議，如NetBIOS等。,7.4.3 VPN的安全協(xié)議,2、三層隧道協(xié)議（IPSec） IPSec是一組開放性協(xié)議的總稱，它包括認(rèn)證頭(AH）、Internet安全協(xié)會與密鑰管理協(xié)議（ISAKMP）和安全封裝載荷（ESP）三個子協(xié)議。IPSec具有以下三個特性。 保密性：IPSec在數(shù)據(jù)傳輸之前先進(jìn)行加密，以確保的

36、私有性。 可靠性：數(shù)據(jù)到達(dá)目標(biāo)方之后進(jìn)行驗證,保證數(shù)據(jù)在傳輸過程中沒有被修改或替換。 真實性：對主機(jī)和端點進(jìn)行身份鑒別。 IPSec有兩種工作模式,即運輸模式和隧道模式。在隧道模式下,IPSec把IP分組封裝在一個安全的數(shù)據(jù)報中，確保從一個防火墻到另一個防火墻的通信安全性。,7.4.4 VPN的基本類型,圖 7-19 VPN的三種服務(wù)類型,公用網(wǎng)絡(luò),Access VPN,Extranet VPN,Internet VPN,合作伙伴,根據(jù)業(yè)務(wù)類型和和組網(wǎng)方式的不同，VPN業(yè)務(wù)大致可分為3類，如圖7-19所示。,7.4.4 VPN的基本類型,1、內(nèi)部網(wǎng)VPN（Intranet VPN） 內(nèi)部網(wǎng)是指

37、企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng),它通過公用網(wǎng)絡(luò)將一個組織的各分支機(jī)構(gòu)的LAN連接而成的網(wǎng)絡(luò)，即Intranet，它是公司內(nèi)部網(wǎng)絡(luò)的擴(kuò)展。 內(nèi)部網(wǎng)VPN用于公司遠(yuǎn)程分支機(jī)構(gòu)的LAN之間或公司遠(yuǎn)程分支機(jī)構(gòu)的LAN與公司總部LAN之間進(jìn)行互聯(lián)，以便公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來的高額費用。內(nèi)部網(wǎng)VPN的配置如圖7-20所示。,VPN Server,Internet,外部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò),Router,Router,VPN Server,圖 7-20 內(nèi)部網(wǎng)VPN的配置,7.4.4 VPN的基本類型,2、遠(yuǎn)程訪問VPN（Access VPN） 遠(yuǎn)程訪問也稱為撥號VP

38、N，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)，用于在遠(yuǎn)程用戶或移動雇員和公司內(nèi)部網(wǎng)之間進(jìn)行互聯(lián)。 遠(yuǎn)程訪問VPN的優(yōu)點是可以實現(xiàn)“透明訪問策略”，即遠(yuǎn)程用戶可以與主機(jī)如同在同一個LAN中一樣自由地訪問LAN上的資源。 遠(yuǎn)程網(wǎng)VPN的配置如圖7-21所示。,圖 7-21 遠(yuǎn)程網(wǎng)VPN的配置,VPN Server,Internet,內(nèi)部網(wǎng)絡(luò),Firewall,Mobile PC,Desktop PC,7.4.4 VPN的基本類型,3、外聯(lián)網(wǎng)VPN（Extranet VPN） 外聯(lián)網(wǎng)是指企業(yè)間發(fā)生收購、兼并或企業(yè)間的戰(zhàn)略聯(lián)盟,使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)，用于在供應(yīng)商、

39、商業(yè)合作伙伴的LAN和公司的LAN之間進(jìn)行互聯(lián)。外聯(lián)網(wǎng)VPN通過一個共享基礎(chǔ)設(shè)施將客戶、供應(yīng)商、合作伙伴等連接到企業(yè)內(nèi)部網(wǎng)，既可以向外提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。外連網(wǎng)VPN的配置如圖7-22所示。,圖 7-22 外聯(lián)網(wǎng)VPN的配置,WWW Server,Internet,內(nèi)部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò),VPN Server,Firewall,VPN Server,Firewall,7.5 網(wǎng)絡(luò)病毒防治技術(shù),計算機(jī)病毒是由計算機(jī)黑客編寫的有害程序,具有自我傳播和繁殖的能力，破壞計算機(jī)的正常工作。 Internet/Intranet的迅速發(fā)展和廣泛應(yīng)用給病毒提供了新的傳播途徑，網(wǎng)絡(luò)將

40、正逐漸成為病毒的第一傳播途徑。 Internet/Intranet帶來了兩種不同的安全威脅：一種威脅來自文件下載，這些被瀏覽的或是通過FTP下載的文件中可能存在病毒；另一種威脅來自電子郵件。 網(wǎng)絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴(yán)重。正因為如此，網(wǎng)絡(luò)病毒的防治技術(shù)顯得越來越重要。因此，網(wǎng)絡(luò)病毒的傳播、再生、發(fā)作將造成比單機(jī)病毒更大危害。,7.5.1 網(wǎng)絡(luò)病毒的特點,1. 感染方式多,2. 感染速度快,3. 清除難度大,4. 破壞性強(qiáng),5. 激發(fā)形式多樣,6. 潛在性,計算機(jī)網(wǎng)絡(luò)的主要特點是資源共享。那么，一旦共享資源染上病毒，網(wǎng)絡(luò)各結(jié)點間信息的頻繁傳輸將把病毒感染到共享的所有機(jī)器上，從而

41、形成多種共享資源的交叉感染。在網(wǎng)絡(luò)環(huán)境中的病毒具有以下6個方面的特點：,7.5.2 網(wǎng)絡(luò)病毒的類型,1、GPI（Get Password I）病毒 GPI病毒是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。 2、電子郵件病毒 由于電子郵件的廣泛使用，E-mail已成為病毒傳播的主要途徑之一。 3、網(wǎng)頁病毒 網(wǎng)頁病毒主要指Java及ActiveX病毒，它們大部分都保存在網(wǎng)頁中，所以網(wǎng)頁也會感染病毒。 4、網(wǎng)絡(luò)蠕蟲程序 是一種通過間接方式復(fù)制自身的非感染型病毒，它的傳播速度相當(dāng)驚人，給人們帶來難以彌補的損失。,7.5.3 網(wǎng)絡(luò)病毒的防治,1、病毒的預(yù)防

42、引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶本身。因此,防范網(wǎng)絡(luò)病毒應(yīng)從兩方面著手。第一，對內(nèi)部網(wǎng)與外界進(jìn)行的數(shù)據(jù)交換進(jìn)行有效的控制和管理, 同時堅決抵制盜版軟件；第二，以網(wǎng)為本，多層防御，有選擇地加載保護(hù)計算機(jī)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)防病毒產(chǎn)品。 2、病毒清除 可靠、有效地清除病毒,并保證數(shù)據(jù)的完整性是一件非常必要和復(fù)雜的工作。優(yōu)秀的防毒軟件應(yīng)該不僅能夠正確識別已有的病毒變種，同時也應(yīng)該能夠識別被病毒感染的文件。 然而，防毒軟件并不是萬能的，對付計算機(jī)病毒的最好方法是要積極地做好預(yù)防工作, 而不能寄托于病毒工具軟件。,7.6 網(wǎng)絡(luò)管理技術(shù),1、網(wǎng)絡(luò)管理的定義 網(wǎng)絡(luò)管理是一項復(fù)雜的系統(tǒng)工程, 它涉及到以下3個

43、方面。 網(wǎng)絡(luò)服務(wù)提供：是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能等。 網(wǎng)絡(luò)維護(hù)：是指網(wǎng)絡(luò)性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復(fù)等。 網(wǎng)絡(luò)處理：是指網(wǎng)絡(luò)線路、設(shè)備利用率、數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。 2、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化 在ISO的OSI-RM的基礎(chǔ)上，由AT&T、英國電信等100多著名大公司組成的OSI/NMF(網(wǎng)絡(luò)管理論壇）定義了OSI網(wǎng)絡(luò)管理框架下的5個管理功能區(qū)域，并形成了多項協(xié)議。,7.6.1網(wǎng)絡(luò)管理的基本概念,7.6.2 網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu),被管系統(tǒng),代 理,被管對象,管理系統(tǒng),管理協(xié)議,通知,執(zhí)行管 理操作,通知,操作,圖 7-24 網(wǎng)絡(luò)管理系統(tǒng)

44、邏輯模型,1、網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型 被管對象：經(jīng)過抽象的網(wǎng)絡(luò)元素，對應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)。 管理進(jìn)程：負(fù)責(zé)對網(wǎng)絡(luò)設(shè)備進(jìn)行全面管理與控制的軟件。 管理信息庫：可看作為管理進(jìn)程的一部分,用于記錄網(wǎng)絡(luò)中被管理對象的狀態(tài)參數(shù)值。 管理協(xié)議：負(fù)責(zé)在管理系統(tǒng)與被管對象之間傳遞命令和負(fù)責(zé)解釋管理操作命令。,7.6.2 網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu),圖 7-25 Internet網(wǎng)絡(luò)管理邏輯模型,2、Internet網(wǎng)絡(luò)管理邏輯模型 由于TCP/IP的廣泛使用，Internet網(wǎng)絡(luò)管理模型也受到了廣泛的重視，幾乎成了事實上的國際標(biāo)準(zhǔn)。Internet的網(wǎng)絡(luò)管理模型如圖7-25所示。,這種管理機(jī)構(gòu)能為管理進(jìn)程提

45、供透明的管理環(huán)境, 一個外部代理能夠管理多個網(wǎng)絡(luò)資源。,7.6.3ISO網(wǎng)路管理功能域,配置 管理,性能 管理,計費 管理,安全 管理,故障 管理,系統(tǒng)管理功能： 對象管理 狀態(tài)管理 關(guān)系屬性 日志控制 負(fù)荷監(jiān)測 告警報告 事件報告 測試管理/測試報告 記賬表 安全審查追蹤等,圖 7-26 OSI網(wǎng)絡(luò)管理功能模塊之間的關(guān)系,為了實現(xiàn)對網(wǎng)絡(luò)中的所有對象進(jìn)行管理，OSI定義了網(wǎng)絡(luò)管理統(tǒng)一的國際性標(biāo)準(zhǔn)（5個基本功能域），基本模塊的相互關(guān)系如圖7-26所示。,7.6.3ISO網(wǎng)路管理功能域,1、配置管理（Configuration Management，CM） 配置管理是ISO網(wǎng)絡(luò)管理功能域中的第一個

46、管理模塊,它具有以下4項基本功能。,7.6.3ISO網(wǎng)路管理功能域,2、性能管理（Performance Management，PM） 性能管理的功能是負(fù)責(zé)監(jiān)視整個網(wǎng)絡(luò)的性能，性能管理的目標(biāo)是收集和統(tǒng)計數(shù)據(jù)。性能管理主要包括以下內(nèi)容：,7.6.3ISO網(wǎng)路管理功能域,3、故障管理（Fault Management，F(xiàn)M） 故障管理是在系統(tǒng)出現(xiàn)異常情況下的管理操作，找出故障的位置并進(jìn)行恢復(fù)。故障管理包括以下4個步驟。,7.6.3ISO網(wǎng)路管理功能域,4、安全管理（Security Management，SM） 安全管理模塊的功能分為網(wǎng)絡(luò)管理本身的安全和被管網(wǎng)絡(luò)對象的安全。安全管理的功能主要包括以

47、下4個方面：,1,授權(quán)管理：分配權(quán)限給所請求的實體。,2,訪問控制管理：訪問控制管理：分配口令、進(jìn)入或修改訪問控制表和能力表。,3,安全管理：安全檢查跟蹤和事件處理。,4,密鑰管理：進(jìn)行密鑰分配。,7.6.3ISO網(wǎng)路管理功能域,5、計費管理（Accounting Management，AM） 計費管理模塊的功能是在有償使用的網(wǎng)絡(luò)上統(tǒng)計有哪些用戶，使用何種信道，傳輸多少數(shù)據(jù)，訪問什么資源信息，即統(tǒng)計不同線路和各類資源的利用情況。 計費管理的目標(biāo)是提高網(wǎng)絡(luò)資源的利用率，以便使一個或一組用戶可以按規(guī)則利用網(wǎng)絡(luò)資源。由于網(wǎng)絡(luò)資源可以根據(jù)其能力的大小而合理地分配，這樣的規(guī)則使網(wǎng)絡(luò)故障降低到最小限度，也可以使所有用戶對網(wǎng)絡(luò)的訪問更加公平。為了實現(xiàn)合理計費，計費管理必須和性能管理相結(jié)合。 計費管理包括：計費數(shù)據(jù)采集、數(shù)據(jù)管理與數(shù)據(jù)維護(hù)、政策比較與決策支持、數(shù)據(jù)分析與費用計算等。,7.6.4 簡單網(wǎng)絡(luò)管理協(xié)議,為了更好地進(jìn)行網(wǎng)絡(luò)管理，許多國際標(biāo)準(zhǔn)化組織都提出了自己的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理方案，網(wǎng)絡(luò)管理協(xié)議主要有CMIP、SNMP和CMOT三種。